资源描述:
《ajax的安全性问题》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、Ajax的安全性问题Ajax或“⾮同步JavaScript和XML”是⼀个相对较新的和动态的Web技术,其⼯作在异步⽅式与服务器进⾏交互。在传统的Web⽅法使⼀个新的浏览器刷新整个页⾯,并重新加载它,这是既耗时又耗费带宽的要求。使⽤AJAX,⼦程序可以不完全重新加载页⾯请求新的服务器数据,从⽽给⽤户带来更快的和丰富的体验。它发⽣在后台⽤户不知情的情况下,⽤户看到的是⼀个流畅的体验。XMLHttpRequest对象是⽤来与服务器的交互。Ajax请求⼀个简单的例⼦就是通过⾕歌搜索提⽰语的⼈⼜,⽽我们开始打字的
2、话。没有发送的全部内容,它不断猜测,更新和加载搜索结果没有击中搜索按钮。在Ajax请求/响应的数据可以在XML或JSON,认为这是⼀种重量轻的数据传输⽐传统形式的基础数据。数据泄漏在Ajax或JSON劫持:在继续之前让我们明⽩⼀个重要的概念:1.JavaScript表达式2.JavaScript数组JavaScript表达式执⾏的JavaScript解析器,但数组是:列如:这将不被执⾏,即对象将不会被创建。上⾯的例⼦是⼀个JavaScript表达式。但现在,当它被转换成⼀个数组,如下⾯给出:这才会被执⾏。情景:⽤户登录到⼀个脆弱的应⽤(victimsite.com)的服务器JSON形式的阵列和数据敏感性质。⽤户获取认证令牌(⾝份验证)的应⽤。攻击者诱使⽤户点击⼀个链接
4、,使⽤⽹络钓鱼或发送电⼦邮件给⽤户。⽤户点击该链接时,页⾯加载,从攻击者的⽹站,下⾯的脚本嵌⼊:脚本再次发出请求,victi
5、msite.com和访问主JSON页发送敏感数据到攻击者的⽹页,其中有两个:现在JSON数据和⾝份验证令牌。然⽽,上述攻击的先决条件是JSON数据必须敏感于⾃然和浏览器应该接受__defineSetter__⽅法,它覆盖了现有的DOM或函数时调⽤属性setter。在以上⽰例中,只要是被称为“t”内的属性,函数警报,并且显⽰它。然⽽,没有多少浏览器⽀持defineSetter,’⽅法。应对措施:切勿将敏感信息发送JSON或不给他们使⽤JSON数组,这使得它可以通过脚本标记有效的JavaScript。只服务⾝
6、份验证的请求,意味着使⽤某种形式的⾝份验证来保护数据必须发送JSON数据通过POST,GET,这将使它很难在
